Beveiligingsadvies
Microsoft Security Advisory 2641690
Frauduleuze digitale certificaten kunnen adresvervalsing toestaan
Gepubliceerd: 10 november 2011 | Bijgewerkt: 19 januari 2012
Versie: 3.0
Algemene gegevens
Samenvatting
Microsoft is zich ervan bewust dat DigiCert Sdn. Bhd, een Maleisische ondergeschikte certificeringsinstantie (CA) onder Entrust en GTE CyberTrust, heeft 22 certificaten uitgegeven met zwakke 512-bits sleutels. Met deze zwakke versleutelingssleutels kan een aanvaller de certificaten frauduleus gebruiken om inhoud te spoofen, phishingaanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren tegen alle webbrowsergebruikers, waaronder gebruikers van Internet Explorer. Hoewel dit geen beveiligingsprobleem is in een Microsoft-product, is dit probleem van invloed op alle ondersteunde versies van Microsoft Windows.
DigiCert Sdn. Bhd is niet aangesloten bij het bedrijf DigiCert, Inc., dat lid is van het Microsoft Root Certificate Program.
Er is geen indicatie dat er frauduleus certificaten zijn uitgegeven. In plaats daarvan hebben cryptografisch zwakke sleutels toegestaan dat sommige certificaten op frauduleuze wijze worden gedupliceerd en gebruikt.
Microsoft biedt een update voor alle ondersteunde versies van Microsoft Windows waarmee de vertrouwensrelatie in DigiCert Sdn wordt ingetrokken. Bhd. De update trekt de vertrouwensrelatie van de volgende twee tussenliggende CA-certificaten in:
- Digisign Server-id - (Enrich), uitgegeven door Entrust.net certificeringsinstantie (2048)
- Digisign Server ID (Enrich), uitgegeven door GTE CyberTrust Global Root
Aanbeveling. Microsoft raadt klanten aan om de update onmiddellijk toe te passen met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . Zie de sectie Voorgestelde acties van dit advies voor meer informatie.
Bekende problemen.Microsoft Knowledge Base-artikel 2641690 documenten over de momenteel bekende problemen die klanten kunnen ondervinden bij het installeren van deze update. In het artikel worden ook aanbevolen oplossingen voor deze problemen beschreven.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Verwijzingen | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 2641690 |
Betrokken software en apparaten
In dit advies worden de volgende software en apparaten besproken.
| Betrokken software |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 voor 32-bits systemen Service Pack 2* |
| Windows Server 2008 voor x64-systemen Service Pack 2* |
| Windows Server 2008 voor Op Itanium gebaseerde systemen Service Pack 2 |
| Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen Service Pack 1 |
| Windows 7 voor x64-systemen en Windows 7 voor x64-systemen Service Pack 1 |
| Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen Service Pack 1* |
| Windows Server 2008 R2 voor Op Itanium gebaseerde systemen en Windows Server 2008 R2 voor Op Itanium gebaseerde systemen Service Pack 1 |
*De installatie van Server Core is beïnvloed. Dit advies is van toepassing op ondersteunde edities van Windows Server 2008 of Windows Server 2008 R2, zoals aangegeven, ongeacht of deze al dan niet zijn geïnstalleerd met behulp van de Server Core-installatieoptie. Zie de TechNet-artikelen over het beheren van een Server Core-installatie en onderhoud van een Server Core-installatie voor meer informatie over deze installatieoptie. Houd er rekening mee dat de Server Core-installatieoptie niet van toepassing is op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2; zie Server Core-installatieopties vergelijken.
| Betrokken apparaten |
|---|
| Windows Mobile 6.x |
| Windows Telefoon 7 |
| Windows Telefoon 7.5 |
Veelgestelde vragen
Waarom is dit advies herzienop 19 januari 2012? Microsoft heeft dit advies herzien om de release van een update voor Windows Mobile 6.x-, Windows Telefoon 7- en Windows Telefoon 7.5-apparaten aan te kondigen. Zie het Microsoft Knowledge Base-artikel 2641690 voor meer informatie.
Waarom is dit advies herzien op 16 november 2011? Microsoft heeft dit advies herzien om de herrelease van de KB2641690-update voor Windows XP Professional x64 Edition Service Pack 2 en alle ondersteunde edities van Windows Server 2003 aan te kondigen. Met de opnieuw uitgebrachte update wordt een probleem opgelost dat wordt vermeld door klanten die Windows Server Update Services (WSUS) gebruiken, waarbij de toepasselijkheid voor de update niet correct is gedetecteerd.
Klanten van Windows XP Professional x64 Edition Service Pack 2 en alle ondersteunde edities van Windows Server 2003 moeten de opnieuw uitgebrachte versie van de KB2641690-update toepassen om te worden beschermd tegen het gebruik van frauduleuze certificaten, zoals beschreven in dit advies. Klanten van Windows XP Service Pack 3 en ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 worden niet beïnvloed door deze herrelease.
Het merendeel van de klanten heeft automatische updates ingeschakeld en hoeft geen actie te ondernemen omdat de opnieuw uitgebrachte KB2641690-update automatisch wordt gedownload en geïnstalleerd.
Wat is het bereik van het advies? Het doel van dit advies is klanten op de hoogte te stellen dat DigiCert Sdn. Bhd heeft 22 certificaten uitgegeven met zwakke 512-bits sleutels. Deze zwakke sleutels hebben sommige van de certificaten in gevaar gebracht. Microsoft heeft de vertrouwensrelatie van deze onderliggende CA ingetrokken in een update waarmee twee tussenliggende CA-certificaten worden verplaatst naar het microsoft niet-vertrouwde certificaatarchief.
Wat heeft het probleem veroorzaakt? Microsoft is op de hoogte gesteld door Entrust, een CA in het Microsoft Root Certificate Program, dat een van hun onderliggende CA's, DigiCert Sdn. Bhd, uitgegeven 22 certificaten met zwakke 512-bits sleutels. Daarnaast heeft deze onderliggende CA certificaten uitgegeven zonder de juiste gebruiksextensies of intrekkingsgegevens. Dit is een schending van de vereisten voor het Microsoft-basiscertificaatprogramma.
Er is geen indicatie dat er frauduleus certificaten zijn uitgegeven. In plaats daarvan lieten cryptografisch zwakke sleutels sommige certificaten op frauduleuze wijze worden gedupliceerd en gebruikt. Entrust en GTE CyberTrust hebben de tussenliggende CA-certificaten ingetrokken die zijn uitgegeven aan DigiCert Sdn. Bhd. Microsoft biedt een update waarmee de vertrouwensrelatie van deze twee tussenliggende certificaten wordt ingetrokken om klanten verder te beschermen.
Hoe kan een aanvaller een certificaat dupliceren? Een digitale handtekening kan alleen worden gemaakt door de persoon die de persoonlijke sleutel van het certificaat bezit. Een aanvaller kan proberen de persoonlijke sleutel te raden en wiskundige technieken te gebruiken om te bepalen of een schatting juist is. De moeite om de persoonlijke sleutel te raden is evenredig met het aantal bits dat in de sleutel wordt gebruikt. Dus hoe groter de sleutel hoe langer het duurt voordat een aanvaller de persoonlijke sleutel raadt. Met moderne hardware kunnen 512-bits sleutels in korte tijd worden geraden.
Hoekan een aanvaller frauduleuze certificaten gebruiken? Een aanvaller kan de 512-bits certificaten gebruiken om inhoud te spoofen, phishingaanvallen uit te voeren of man-in-the-middle-aanvallen uit te voeren tegen alle webbrowsergebruikers, waaronder gebruikers van Internet Explorer.
Wat doet Microsoft om dit probleem op te lossen? Hoewel dit probleem niet het gevolg is van een probleem in een Microsoft-product, hebben we niettemin een update uitgebracht die twee tussenliggende certificaten verplaatst die zijn uitgegeven door Entrust en GTE CyberTrust naar het Microsoft Untrusted Certificate Store. Microsoft raadt klanten aan de update onmiddellijk toe te passen.
Wat is een man-in-the-middle aanval? Een man-in-the-middle-aanval treedt op wanneer een aanvaller de communicatie tussen twee gebruikers omleiden via de computer van de aanvaller zonder de kennis van de twee communicerende gebruikers. Elke gebruiker in de communicatie verzendt onbewust verkeer naar en ontvangt verkeer van de aanvaller, terwijl ze denken dat ze alleen communiceren met de beoogde gebruiker.
Wat is een certificeringsinstantie (CA)? Certificeringsinstanties zijn de organisaties die certificaten uitgeven. Ze bepalen en verifiëren de echtheid van openbare sleutels die deel uitmaken van personen of andere certificeringsinstanties en ze verifiëren de identiteit van een persoon of organisatie die om een certificaat vraagt.
Wat is de procedure voor het intrekken van een certificaat? Er is een standaardprocedure waarmee een certificeringsinstantie kan voorkomen dat certificaten worden geaccepteerd als ze worden gebruikt. Elke certificaatverlener genereert periodiek een certificaatintrekkingslijst (CRL), waarin alle certificaten worden vermeld die als ongeldig moeten worden beschouwd. Elk certificaat moet een stukje gegevens opgeven dat het CRL-distributiepunt (CDP) wordt genoemd, dat de locatie aangeeft waar de CRL kan worden verkregen.
Een alternatieve manier voor webbrowsers om de identiteit van een digitaal certificaat te valideren, is door het Online Certificate Status Protocol (OCSP) te gebruiken. OCSP maakt interactieve validatie van een certificaat mogelijk door verbinding te maken met een OCSP-responder, gehost door de certificeringsinstantie (CA) die het digitale certificaat heeft ondertekend. Elk certificaat moet een aanwijzer opgeven naar de OCSP-antwoordlocatie via de AIA-extensie (Authority Information Access) in het certificaat. Daarnaast kan OCSP-koppeling de webserver zelf een OCSP-validatieantwoord geven aan de client.
OCSP-validatie is standaard ingeschakeld in Internet Explorer 7 en latere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2. Als de OCSP-validatiecontrole op deze besturingssystemen mislukt, valideert de browser het certificaat door contact op te nemen met de CRL-locatie.
Sommige netwerkimplementaties kunnen online OCSP- of CRL-updates voorkomen, zodat Microsoft een update heeft uitgebracht voor alle versies van Microsoft Windows waarmee deze certificaten worden toegevoegd aan het Microsoft Untrusted Certificate Store. Als u deze certificaten verplaatst naar het Microsoft Untrusted Certificate Store, zorgt u ervoor dat deze frauduleuze certificaten niet worden vertrouwd in alle netwerkimplementatiescenario's.
Zie het TechNet-artikel, certificaatintrekking en statuscontrole voor meer informatie over certificaatintrekkingscontrole.
Hoe kan ik weten of er een ongeldige certificaatfout is opgetreden? Wanneer Internet Explorer een ongeldig certificaat tegenkomt, krijgen gebruikers een webpagina te zien met de tekst 'Er is een probleem met het beveiligingscertificaat van deze website'. Gebruikers worden aangeraden de webpagina te sluiten en weg te navigeren van de site wanneer dit waarschuwingsbericht wordt weergegeven.
Gebruikers krijgen dit bericht alleen te zien wanneer wordt vastgesteld dat het certificaat ongeldig is, bijvoorbeeld wanneer de gebruiker certificaatintrekkingslijst (CRL) of OCSP-validatie (Online Certificate Status Protocol) heeft ingeschakeld. OCSP-validatie is standaard ingeschakeld in Internet Explorer 7 en latere versies van Internet Explorer op ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2.
Hoe kan ik na het toepassen van de update de certificaten in het Microsoft Untrusted Certificates Store verifiëren? Zie het MSDN-artikel over het weergeven van certificaten voor informatie over het weergeven van certificaten: Certificaten weergeven met de MMC-module.
Controleer in de MMC-module Certificaten of de volgende certificaten zijn toegevoegd aan de map Niet-vertrouwde certificaten:
| Certificaat | Uitgegeven door | Vingerafdruk |
|---|---|---|
| Digisign-server-id - (verrijken) | Entrust.net certificeringsinstantie (2048) | 8e 5b d5 0d 6a e6 86 d6 52 52 f8 43 a9 d4 b9 6d 19 77 30 ab |
| Digisign-server-id (verrijken) | GTE CyberTrust Global Root | 51 c3 24 7d 60 f3 56 c7 ca 3b af 4c 3f 42 9d ac 93 ee 7b 74 |
Voorgestelde acties
Voor ondersteunde versies van Microsoft Windows
Het merendeel van de klanten heeft automatische updates ingeschakeld en hoeft geen actie te ondernemen omdat de KB2641690-update automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie het Microsoft Knowledge Base-artikel 294871 voor meer informatie over specifieke configuratieopties bij het automatisch bijwerken.
Voor beheerders en bedrijfsinstallaties of eindgebruikers die de KB2641690-update handmatig willen installeren, raadt Microsoft klanten aan de update onmiddellijk toe te passen met behulp van updatebeheersoftware of door te controleren op updates met behulp van de Microsoft Update-service . Zie het Microsoft Knowledge Base-artikel 2641690 voor meer informatie over het handmatig toepassen van de update.
Voor Windows Mobile 6.x-, Windows Telefoon 7- en Windows Telefoon 7.5-apparaten
Zie het Microsoft Knowledge Base-artikel 2641690 voor informatie over de update voor Windows Mobile 6.x, Windows Telefoon 7 en Windows Telefoon 7.5-apparaten.
Aanvullende voorgestelde acties
Uw pc beveiligen
We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Klanten kunnen meer informatie over deze stappen vinden door naar Uw computer beveiligen te gaan.
Ga naar Microsoft Security Central voor meer informatie over veilig blijven op internet.
Microsoft-software bijgewerkt houden
Gebruikers met Microsoft-software moeten de nieuwste Beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo beveiligd mogelijk zijn. Als u niet zeker weet of uw software up-to-date is, gaat u naar Microsoft Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als u automatische updates hebt ingeschakeld en geconfigureerd om updates voor Microsoft-producten te bieden, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar controleert u of ze zijn geïnstalleerd.
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites die worden geleverd door programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (10 november 2011): Advies gepubliceerd.
- V2.0 (16 november 2011): Herzien om de herrelease van de KB2641690-update aan te kondigen. Zie de veelgestelde vragen over updates in dit advies voor meer informatie. Er is ook een koppeling toegevoegd naar het Microsoft Knowledge Base-artikel 2641690 onder Bekende problemen in het executive-overzicht.
- V3.0 (19 januari 2012): Herzien om de release van een update voor Windows Mobile 6.x-, Windows Telefoon 7- en Windows Telefoon 7.5-apparaten aan te kondigen.
Gebouwd op 2014-04-18T13:49:36Z-07:00